juillet, 2010

Tout augmente. La Fondation a profité du dernier Hack In The Box Européen pour annoncer une nouvelle politique visant à récompenser les chasseurs de failles. Désormais, précise le communiqué, la récompense pourra atteindre jusqu’à 3000 $ en fonction de la dangerosité et de la possibilité d’exploitation.

Cette prime devrait en toute logique faire sensiblement baisser les annonces spectaculaires émises parfois le lendemain même de la sortie d’une nouvelle version… ventre affamé préfère encore un bel effet d’annonce à une lettre de remerciement ou une prime symbolique.

Risques d’attaques distantes, de cross site scripting, de déni de service… 17 vulnérabilités au total : Acrobat Reader et Acrobat ont franchement besoin d’un brin de toilette. Mais malgré ce goût de bouchon fortement prononcé, il semblerait que de vieilles failles ne soient pourtant pas totalement comblées. Ce pourrait-être notamment le cas de la plus médiatique des imperfections du (des) lecteur(s) de fichiers pdf qu’avait soulevé, en avril dernier, Didier Stevens. Une récente communication de Le Manh Tung de Bkis explique que la « launch feature » capable d’exécuter automatiquement un programme n’est pas parfaitement annihilée. Une imperfection que reconnaît d’ailleurs l’équipe d’Adobe, tout en précisant que les risques sont singulièrement diminués depuis la diffusion du dernier correctif.

« Loin de moi l’idée de vouloir empoisonner l’atmosphère, mais, cher confrère, avez-vous remarqué combien votre système de certification était faisandé ? » dit en substance le communiqué public émis par Comodo à l’attention des ingénieurs de Verisign. Une vulnérabilité (dont les détails techniques n’ont pas été divulgués) mettrait en danger les usagers des certificats SSL Web de Verisign, et notamment les clients d’un « important organisme financier » (Bank of America) dont l’accès aux comptes pourrait se faire sans la moindre vérification d’authenticité. Le reste du communiqué est à l’avenant : « When we uncovered this serious security vulnerability, we knew we had to do the right thing to notify VeriSign immediately to correct the design problem … ». Charitable pensée de la part de Comodo qui, soyons en sûr, ne se transformera pas en dragon vengeur si d’aventure un chercheur en sécurité parvenait à découvrir une paille dans un de leurs services. Si le « full disclosure » est concurrencé par les communiqués de presse des concurrents, qui donc va-t-on poursuivre sous prétexte de « divulgation irresponsable » ?

Le « software group » d’IBM va s’enrichir d’une nouvelle équipe provenant de BigFix, entreprise actuellement en cours de rachat. BigFix est une entreprise spécialisée dans les logiciels de détection de « conformité sécurité » des stations de travail se connectant à un réseau (mise à niveau d’antivirus, paramètres des firewall, application des correctifs etc).